Google: Vår lysande Spöke fixa skuggar prestanda hit, så du bör alla använda det

0
23

Noll

Video: Härdsmälta och Spectre ta en tugga av Äpplet

Googles “långskott” fixa för den svåraste-att-lösa av de tre Härdsmälta och Spectre CPU-attacker verkar ha lönat sig.

Att fixa, som kallas Retpoline, adresser Variant 2 av de två Spectre CPU-attacker som kallas “branch target injektion’. Variant 2 anses av Microsoft och Google vara den svåraste spekulativ exekvering sårbarhet för att fixa eftersom det är det enda som orsakar en betydande hit på CPU-prestanda.

Det är också skrämmande hot mot virtualiserade miljöer i molnet på grund av dess potential att användas för att hoppa mellan olika instanser på samma CPU.

Andra sätt att fastställa Variant 2 är via en blandning av OS/kernel fixar och kisel mikrokod från Intel och AMD, men Google har hävdat sin mjukvara baserad Retpoline svaret är överlägsen och det bör antas allmänt.

Google i förra veckan sade Retpoline generellt hade “försumbar inverkan på prestanda” och har nu beskrivit de specifika konsekvenser för Google Cloud Platform-tjänster.

Ben Treynor Sloss, vice vd för Googles 24×7, sa för flera månader såg det ut som det enda alternativet för att åtgärda alternativ 2 skulle vara att inaktivera prestationshöjande spekulativ exekvering CPU funktion, som i sin tur skulle resultera i långsammare cloud-applikationer.

ndcboom1-alt.jpg

Google har nu beskrivit Retpoline särskilda konsekvenser för Google Cloud Platform-tjänster.

Bild: Google

Google redan hade lappat Variant 1, också ett Spöke attack, och Variant 3 aka Härdsmälta, i September, med Variant 2 står ut förrän i December. Dessa första två korrigeringar “hade ingen märkbar effekt på god klinisk sed eller tjänster som Gmail, Sök, och Köra bil, men fix för Variant 2 gjorde.

Intel förnekade inledningsvis rapporterar att dess Härdsmälta och Spectre fixar skulle orsaka en stor hit på CPU-prestanda, men igår erkände “inverkan på prestandan varierar kraftigt, baserat på särskilda arbetsbelastning, plattform konfiguration och begränsning teknik”.

Sloss säger under tester på Google, inaktivera utsatta CPU-tillbehör-spekulativ exekvering — resulterade i “stor skillnad”.

Se även: att bygga upp ditt försvar: Budget extra för en IT-revision 2018

“Inte nog med att vi ser en betydande nedgångar för många tillämpningar, vi märkte också inkonsekventa resultat, eftersom hastigheten av en ansökan kan påverkas av beteendet hos andra program som körs på samma kärna. Rulla ut dessa åtgärder skulle ha påverkats negativt många kunder,” skrev han.

Microsofts analys av fläckar inverkan på PC, server, och moln prestanda kom till en liknande slutsats.

“I allmänhet, och vår erfarenhet är att alternativ 1 och Variant 3 mildrande åtgärder har minimal påverkan på prestanda, samtidigt som Variant 2 sanering, inklusive OS och mikrokod, har en påverkan på prestanda,” skrev Terry Myerson, executive vice president för Microsofts Windows och Enheter Grupp.

Paul Turner, Retpoline skapare, har gett en detaljerad skriva upp på den rätta. Termen är ett teleskopord av “return” och “studsmatta’.

“Retpoline sekvenser är en programvara som gör att konstruera indirekt grenar för att vara isolerade från spekulativ exekvering. Detta kan användas för att skydda känslig binärer (såsom operativsystem eller hypervisor implementationer) från gren mål injektion attacker mot deras indirekta grenar”, säger Turner.

Retpoline är en stabil fixa också, enligt Sloss, som säger att eftersom att linda upp alla Härdsmälta och Spectre fel för Google Cloud Platform i December, det har inte fått ett enda support ticket relaterade till uppdateringar.

“Detta bekräftade vår interna utvärdering som i verkliga världen använder, prestanda-optimerade uppdateringar för Google utplacerade inte har en väsentlig effekt på arbetsbelastning,” skrev han.

“Vi tror att Retpoline-baserade skydd är de som presterar bäst lösning för Variant 2 på nuvarande hårdvara. Retpoline fullt ut skyddar mot alternativ 2 utan att det påverkar kundernas prestanda på alla våra plattformar. På att dela vår forskning offentligt, vi hoppas att detta kan vara universellt användas för att förbättra moln erfarenhet inom branschen.”

Tidigare och relaterade täckning

Härdsmälta-Spectre firmware glitch: Intel varnar för risken för plötsliga omstarter

Äldre Broadwell och Haswell marker har tagit en hit från Intels CPU-lapp.

Linux vs Härdsmälta: Ubuntu får andra uppdatering efter första misslyckas att starta upp

Nu Linux-distributioner och drabbas av Härdsmälta patch frågor.

Windows Härdsmälta-Spectre fix: Hur kan man kontrollera om din AV-blockerar Microsoft patch

Antivirus-företag är att spela patch catch-up, som Microsoft släpper Härdsmälta firmware-uppdateringar för Surface-enheter.

Windows Härdsmälta-Spectre fläckar: Om du inte har fått dem, skulden ditt antivirus

Microsoft säger att ditt antivirusprogram kan stoppa dig från att ta emot akuta plåster som utfärdats för Windows.

Kritiska brister avslöjade att påverka de flesta Intel-kretsar sedan 1995

De flesta Intel-processorer och vissa ARM marker är bekräftad för att vara sårbar, att lägga flera miljarder enheter på risken för angrepp. En säkerhetsforskare sa fel “kommer att förfölja oss under många år.”

Windows emergency Härdsmälta patch: Microsoft slutar uppdatera för AMD-Datorer efter felrapporter (TechRepublic)

Följande påståenden fläckar fångade några AMD-Datorer i en oändlig loop, Microsoft tillkännagav idag Windows-uppdateringar inte skulle rullas ut till de drabbade maskiner.

Hur du skyddar dig från Härdsmälta och Spectre CPU-fel (CNET)

Praktiskt taget varje modern processor är utsatta. Vi uppdaterar denna lista över korrigeringar som de blir tillgängliga.

Relaterade Ämnen:

Cloud

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0